Microsoft heeft in enkele van zijn producten fouten ontdekt die een beveiligingsrisico oppleveren. In beide gevallen is een softwarematige correctie (‘patch’) beschikbaar op de website van het bedrijf. Een zwakke plek in de Microsoft Virtual Machine kan in het ergste geval een ‘kritiek’ beveiligingsrisico opleveren, meldt de softwareproducent in een Security Bulletin. Dit onderdeel van het Win32-platform maakt deel uit van de meeste versies van Windows en het bladerprogramma Internet Explorer. De zogeheten ByteCode-verificatie in de Virtual Machine blijkt niet correct te controleren op de aanwezigheid van kwaadaardige programmacode. Iemand met slechte bedoelingen kan hiervan misbruik maken door een schadelijke Java-applet in een webpagina op te nemen. Degene die zo’n webpagina opent is hierdoor onder bepaalde omstandigheden kwetsbaar voor aanvallen op zijn pc.
Het tweede probleem, dat ‘denial of service’-aanvallen mogelijk maakt, krijgt het predikaat ‘belangrijk’ mee. Het betreft een foutje in de Proxy Server 2.0 en de firewall van ISA Server 2000. Binnen een bedrijfsnetwerk kan de aanvaller die deze zwakke plek wil uitbuiten een speciaal samengesteld datapakketje versturen waardoor de server doof wordt voor aanvragen van binnen en buiten het bedrijf. Ook dit beveiligingslek en de remedie worden beschreven in een Security Bulletin.
Daarnaast is gebleken dat voor een reeds in november 2000 ontdekt beveiligingslek in Windows NT 4.0 een patch is ontwikkeld die per abuis nooit beschikbaar is gesteld. De als cross-site scripting (CSS) bekend staande zwakte ontstaat als webapplicaties ingevoerde gegevens niet goed controleren voordat ze in dynamische webpagina’s worden gebruikt.
38 minuten geleden
